Fortinet ha recentemente segnalato una vulnerabilità critica in FortiSIEM, identificata come CVE-2025-25256, che sta già vedendo attacchi attivi in rete. Questa falla di sicurezza, con un punteggio CVSS di 9.8 su 10, è classificata come una vulnerabilità di OS Command Injection. In pratica, un attaccante non autenticato può eseguire comandi o codice non autorizzato sul sistema bersaglio tramite richieste CLI appositamente create, compromettendo gravemente la sicurezza della rete aziendale.

Versioni interessate e raccomandazioni

Le versioni di FortiSIEM interessate includono tutte le release dalla 6.1 fino alla 7.3.1, con raccomandazione di aggiornare alle versioni 6.7.10, 7.0.4, 7.1.8, 7.2.6 e 7.3.2 o successive, mentre la versione 7.4 non risulta vulnerabile. Fortinet ha consigliato di migrare o aggiornare immediatamente per mitigare il rischio, vista la presenza di un exploit funzionante già utilizzato in attacchi reali. L’azienda ha però sottolineato che il codice di sfruttamento non lascia indicatori di compromissione chiari, rendendo più difficile rilevare eventuali intrusioni.

Mitigazioni temporanee

Come misura temporanea, Fortinet suggerisce alle organizzazioni di limitare l’accesso alla porta phMonitor (7900), riducendo così la superficie di attacco. Resta comunque cruciale procedere quanto prima all’installazione delle patch ufficiali per prevenire compromissioni e accessi non autorizzati.

Contesto e minacce attuali

La segnalazione della vulnerabilità arriva in un contesto già teso: proprio nei giorni precedenti, era stato osservato un picco di attacchi brute-force ai dispositivi Fortinet SSL VPN, con indirizzi IP da Stati Uniti, Canada, Russia e Paesi Bassi intenti a sondare dispositivi in tutto il mondo. Questo conferma come le soluzioni Fortinet siano sotto il costante mirino degli attaccanti e rafforza l’urgenza di intervenire tempestivamente con aggiornamenti e monitoraggio proattivo.

In sintesi, la vulnerabilità CVE-2025-25256 in FortiSIEM rappresenta una minaccia concreta e attuale per la sicurezza delle reti aziendali. Aggiornare subito alle versioni sicure di FortiSIEM e limitare l’accesso alle porte sensibili è oggi indispensabile per ridurre i rischi e proteggere le infrastrutture critiche da attacchi mirati sempre più sofisticati.